Plataforma cripto-ágil para la emisión de certificados post-cuánticos y su sincronización con túneles IPSec

Abstract

La computación cuántica es un área de la informática que aprovecha las características de la mecánica cuántica para abordar el procesado de información, con el objetivo de resolver problemas que hoy resultan inabordables incluso para los ordenadores más potentes. Según IBM, un problema que actualmente podría tardar miles de años en resolverse podría completarse en minutos u horas con un ordenador cuántico.

La seguridad de las comunicaciones digitales se fundamenta en el alto coste computacional que los ordenadores actuales requieren para descifrar los algoritmos criptográficos. Sin embargo, con la creciente evolución de la computación cuántica, resulta imposible garantizar la seguridad futura con dichos algoritmos. Esta debilidad afecta de manera crítica a la criptografía asimétrica, el pilar que sustenta protocolos fundamentales como IPsec y TLS.

Dado que no existe un "interruptor" capaz de actualizar simultáneamente todos los sistemas criptográficos de internet e incorporar algoritmos post cuánticos, resulta vital realizar una transición suave. Esta empieza por ofrecer soluciones híbridas, que combinan varios algoritmos para proteger frente a sistemas tradicionales y post cuánticos. En este contexto surge la cripto-agilidad: la capacidad de un sistema para adaptar sus mecanismos y recursos criptográficos según la demanda, impulsada por vulnerabilidades, cambios tecnológicos o nuevos modelos de amenazas.

A este escenario se añade la complejidad de la delegación de identidades digitales. En arquitecturas modernas es común que una organización necesite que un tercero (como una red CDN) establezca conexiones seguras en su nombre, pero el modelo tradicional obligaría a compartir las claves privadas a largo plazo con el intermediario, aumentando drásticamente la superficie de ataque.

Este trabajo de fin de máster busca resolver estos problemas desarrollando una plataforma cripto-ágil de emisión de certificados híbridos —con claves tradicionales y post cuánticas— capaz de soportar escenarios de delegación segura, así como su posterior validación en túneles IPsec.

Quantum computing is a field of computer science that harnesses the properties of quantum mechanics to approach information processing in a new way, with the goal of solving problems that are currently intractable even for the most powerful computers available. According to IBM, a problem that might take thousands of years to solve today could be completed in minutes or hours on a quantum computer.

The security of digital communications relies on the high computational cost that current computers require to break the various cryptographic algorithms. However, with the rapid advance of quantum computing, it is no longer possible to guarantee the future security of these algorithms. This weakness critically affects asymmetric cryptography, the pillar of fundamental protocols such as IPsec and TLS.

Since there is no single "switch" capable of simultaneously updating every cryptographic system on the internet and incorporating post-quantum algorithms, a smooth transition over time is essential. This begins by offering hybrid solutions that combine multiple algorithms to provide protection against both traditional and post-quantum systems. In this context, the term crypto-agility emerges: the ability of a system to adapt its cryptographic mechanisms and resources according to demand, driven by vulnerabilities, technological changes, or new threat models.

Added to this scenario is the complexity of delegating digital identities. In modern architectures, it is common for an organization to need a third party (such as a CDN) to establish secure connections on its behalf. However, the traditional model would force the owner to share long-term private keys with the intermediary, dramatically increasing the attack surface.

This master's thesis seeks to solve the problems described above by developing a crypto-agile platform for issuing hybrid certificates—with both traditional and post-quantum keys—capable of supporting secure delegation scenarios, along with its subsequent validation in IPsec tunnels.